mercredi 24 janvier 2018    || Inscription
BanniereNews
 
 

Notre rubrique Tribune accueille les avis d'experts sélectionnés par la rédaction de Mag-Securs. Ils n'engagent toutefois que leurs auteurs. Les commentaires sont encouragés quoique modérés.

 

Par Benjamin Duchet, consultant manager FORMIND.


FORMIND est un cabinet de conseil, expert en gestion des risques et sécurité des systèmes d’information. Nous accompagnons nos clients, grands Comptes du CAC 40 dans les secteurs de la banque/assurance, de l’énergie, des services, du secteur public et de la grande distribution, sur l’ensemble de leurs besoins en gestion des risques et sécurité de l’information.


Mon métier, la fraude, et j’en vis très bien.
Mon approche, l’agression logique, 15 fois moins risquée que les agressions physiques (d’un point de vue juridique et pratique).
Ma cible fétiche, les DG de nos grands Groupes, gavés d’informations monnayables et rendus vulnérables par leur forte mobilité et leur hyperactivité… mais aussi leur entourage… Mes outils, mon PC, ma tablette, Internet, les réseaux sociaux et surtout, mon légendaire bagou !

Mes techniques privilégiées

  • Je me renseigne sur leur emploi du temps, et leur vie personnelle. Je trouve une majorité d’informations sur Internet et contacte leurs proches et collaborateurs, avec mes techniques basiques d’ingénierie sociale.
  • Je vole leurs données de plusieurs façons :
  • Je me place physiquement à proximité pour me connecter à leurs terminaux en Wifi ou Bluetooth lorsqu’ils attendent à l’aéroport ou au restaurant.
  • Je profite de la proximité passagère dans les aéroports, les restaurants pour me connecter à leurs terminaux très souvent vulnérables car exempt des derniers correctifs de sécurité.
  • J’opère le plus souvent à distance, en aspirant le contenu de leurs terminaux depuis Internet.
  • Parfois, et c’est rare, mon oiseau est bien protégé, je suis donc obligé de lui « emprunter » ses outils de travail. Généralement dans le coffre de sa voiture à côté du restaurant, en mode pick pocket, voire dans ses bureaux ou chez lui si cela est nécessaire.

Pourquoi ? : Je monnaie les données

Je le faisais auparavant pour le challenge, pour développer mon art, aujourd'hui j'en tire également un agréable avantage financier 

S’il est assez rare, en France, de monnayer ces informations aux concurrents, mes filières étrangères sont très friandes d’informations en provenance de grands groupes industriels et financiers. 

Mais le plus profitable est d’utiliser son identité et ses accès légitimes pour réaliser une exfiltration globale de données : mais pour cela il faut faire très vite ! (Les accès sont souvent révoqués et/ou ces informations d'authentification peuvent être renouvelées).

Mes anecdotes sur le terrain

  • Un vol d’ordinateur portable dans le coffre de la voiture pendant que le PDG était en « déplacement » chez sa maitresse
  • Copie du répertoire du Smartphone d’un patron pendant sa partie de Golf. J’étais son caddy.
  • Vol de la sacoche contenant l’ordinateur portable d’un PDG aux toilettes de Roissy CDG.
  • Prise de contrôle du poste personnel d’un PDG suite à une approche d’ingénierie sociale auprès de ses enfants via leur compte Facebook.
  • Dépôt d'une clé USB pré configurée auprès de sa portière de voiture : oh qu'il est curieux et vicieux !

Quelques chiffres afin de prendre la mesure du risque

Selon une étude du Ponemon Institute, le coût total du vol ou de la perte d’un ordinateur portable s’élèverait en moyenne à 49 246 dollars. Cela inclurait le coût matériel, les coûts juridiques, les coûts d’investigation et les coûts liés à la perte de propriété intellectuelle.

Selon un rapport de la société Absolute Software :

Un ordinateur portable est volé toutes les 12 secondes dans le monde, et toutes les 53 secondes en Europe

En Europe, les villes les plus touchées par ces vols de PC sont Londres, Sonder Felding (Danemark) et Paris.

Ces situations doivent être préparées par vos responsables sécurité et par vous-même en premier lieu.

Le risque de vol de données est plus élevé en situation de nomadisme et notamment dans des endroits qui comportent une forte affluence comme les aéroports, les gares, les hôtels, etc.

Quelques scénarios d’attaques des pirates

  • Je fais passer mon ordinateur portable pour une borne Wifi (j’active le partage de connexion Internet) et j’en profite pour espionner toutes les connections qui transitent par mon ordinateur (Rogue Access Point et donc d’attaque du type Man in the Middle) => C’est une attaque extrêmement simple à mettre en place dans n’importe quel lieu public.
  • Je scanne les connexions Bluetooth depuis ma tablette ou mon smartphone en me promenant à proximité des personnes dans un lieu public. La plupart des connexions ne sont pas ou peu sécurisées (Code du type 0000 ou 1234 pour les connexions main libre pour les voitures par exemple) => Je peux donc copier tout le répertoire et même certains fichiers !
  • Je prépare des scénarios d’ingénierie sociale pour voler des données comme :
  • Usurper une fausse identité pour me faire passer pour un collaborateur
  • Utiliser l’empathie pour emprunter le téléphone et/ou l’ordinateur pour une urgence
  • Espionner discrètement l’écran de l’ordinateur pour récupérer des mots de passe ou des informations sensibles
  • Remplacer ou voler les terminaux discrètement en utilisant des sac ou sacoches identiques, ou en utilisant les files d’attente et éventuelles bousculades

Les 8 commandements du PDG en déplacement

1. Définissez des règles de sécurité : notamment pour les situations de nomadisme
   o Sauvegarder et protéger les données sensibles
   o Avoir les informations nécessaires en cas de problème
   o Etre sensibilisé aux comportements à adopter pour limiter les risques lors des déplacements
   o Systématiser le rapport d’étonnement. 

2. Mettez en place des moyens techniques de protection : Chiffrement, authentification forte, sauvegarde, firewall, etc.

3. Planifiez votre voyage : préparez la protection de votre ordinateur portable et de vos terminaux

4. Sauvegardez vos données avant de partir !

5. Utilisez des mots de passe robustes : Plus votre mot de passe est fort, plus votre ordinateur est protégé contre les pirates informatiques et les programmes malveillants. 

6. Notez toutes les informations importantes : marque, modèle, numéro de série, EMEI, etc. afin de les avoir sous la main pour la police ou le service de sécurité local en cas de vol ou de perte. Cela vous permettra également de les  transmettre à votre DSI ou RSSI pour lancer les actions nécessaires (Désactivation des comptes, blocage et/ou effacement à distance, etc.

7. Privilégier des accès sécurisés pour vos connexions réseaux : VPN, HTTPS, SSL, etc.

8. Soyez attentif à votre environnement : Des yeux indiscrets peuvent essayer de récupérer des informations lorsque vous utilisez vos terminaux dans un lieu public

N’hésitez pas à consulter le Passeport de conseil aux voyageurs de l’ANSSI.

Alors soyez prudents et n’oubliez pas, vos données valent de l’or !